La Commission européenne a annoncé un plan ambitieux pour s’affranchir de sa dépendance presque totale vis-à-vis des technologies étrangères.

Dans ce qu’elle a qualifié de « moment décisif pour affirmer sa souveraineté technologique », la Commission a présenté un Paquet sur la souveraineté technologique européenne : une proposition globale visant à(nouvelle fenêtre) renforcer les capacités de l’Europe dans les domaines des semi-conducteurs, de l’IA, du cloud et de l’open source.

Son objectif est sans ambiguïté : réduire la dépendance des infrastructures européennes vis-à-vis des technologies étrangères. La communication officielle de la Commission indique que « l’UE reste structurellement dépendante de fournisseurs non européens pour plus de 80 % de ses produits numériques(nouvelle fenêtre), services, infrastructures et propriété intellectuelle ».

Le plan est essentiellement un appel à l’action pour les entreprises européennes afin qu’elles examinent leurs propres dépendances technologiques vis-à-vis des États-Unis. Cet article propose un aperçu de chacun des quatre volets de l’ensemble de mesures :

  • Chips Act 2.0
  • Le Cloud and AI Development Act (CADA)
  • La stratégie de l’UE en matière d’open source
  • Une feuille de route stratégique pour la numérisation et l’IA dans le secteur de l’énergie

Pourquoi l’Europe donne désormais la priorité à l’indépendance de ses infrastructures

L’Union reconnaît désormais ce que de nombreux experts technologiques redoutaient depuis longtemps : l’Europe doit cesser de considérer la dépendance structurelle comme un prix acceptable à payer pour son confort.

Comme l’a souligné la présidente de la Commission, Ursula von der Leyen : « Nous ne pouvons pas nous permettre de dépendre des autres pour les technologies qui font fonctionner nos hôpitaux, stabilisent nos réseaux énergétiques et sécurisent nos services. Il s’agit de protéger nos citoyens, de défendre nos intérêts et de faire nos propres choix. »

La dépendance vis-à-vis des infrastructures expose chaque nation de l’UE aux risques suivants :

  • Arrêts d’urgence (kill switches). Un gouvernement étranger peut désactiver ou perturber les services dont dépendent vos hôpitaux, vos réseaux énergétiques et vos institutions publiques. La responsable du numérique de l’UE, Henna Virkkunen, l’a dit explicitement(nouvelle fenêtre) : « Nous voulons être sûrs que dans les champs critiques, nous soyons toujours en mesure de contrôler les services et de contrôler les données en Europe. »
  • Portes dérobées juridiques. La législation américaine exige des fournisseurs de cloud basés aux États-Unis qu’ils transmettent les données aux autorités américaines, même lorsqu’elles sont stockées en Europe(nouvelle fenêtre). Les données européennes hébergées sur des infrastructures américaines ne sont pas protégées par la juridiction européenne. La conformité au GDPR n’y change rien.
  • Marchés publics verrouillés. Les contrats publics critiques (santé, énergie, défense) sont actuellement exécutés par des fournisseurs qui ne sont pas sous contrôle européen(nouvelle fenêtre). La solution proposée par la Commission, qui consiste à exiger des logiciels et du matériel fabriqués dans l’UE pour les appels d’offres publics les plus sensibles, est un aveu que la situation actuelle n’est plus tenable.
  • Moyen de pression politique. Lorsque les entreprises qui gèrent vos infrastructures ont des liens étroits avec un gouvernement hostile à vos intérêts, la dépendance devient un handicap dans les négociations(nouvelle fenêtre). La CPI n’a pas choisi de quitter Microsoft — elle y a été de fait poussée. C’est un arrêt d’urgence (kill switch) par d’autres moyens, et cela s’est déjà produit.

Lire aussi : Rapport sur les risques des technologies américaines

Ce que propose le Paquet sur la souveraineté technologique européenne

Le paquet comporte quatre volets. Pour les entreprises européennes, deux d’entre eux sont particulièrement importants : le Cloud and AI Development Act et la stratégie open source.

Chips Act 2.0

L’Europe ne produit qu’environ 10 % des semi-conducteurs mondiaux et reste fortement dépendante des États-Unis et de l’Asie de l’Est pour les puces classiques et de pointe. Le Chips Act 2.0(nouvelle fenêtre) vise à renforcer l’industrie des semi-conducteurs et la chaîne d’approvisionnement en Europe.

Pour les entreprises européennes : attendez-vous à ce que les divulgations sur la chaîne d’approvisionnement des semi-conducteurs deviennent plus courantes. Elles seraient requises en cas de « crise déclarée », conditionnelles pour les entreprises qui sollicitent des financements de l’UE, et encouragées pour les marchés publics. Si vos fournisseurs ne peuvent pas vous dire d’où proviennent leurs puces, attendez-vous à ce que cela soit considéré comme un manque de confiance.

Le Cloud and AI Development Act (CADA)

Plus de 70 % du marché du cloud en Europe est contrôlé par trois fournisseurs américains, tandis que la part de l’UE est tombée de 29 % en 2017 à 15 % en 2022.

Le CADA introduit quatre niveaux d’assurance de l’Union qui poussent la souveraineté du cloud au-delà de la simple localisation des données, vers des questions plus complexes de contrôle, de juridiction, de propriété, de transparence de la chaîne d’approvisionnement des logiciels et d’ingérence de pays tiers.

  • Niveau 1 : les données sont traitées et stockées dans des infrastructures situées au sein de l’UE.
  • Niveau 2 : les fournisseurs doivent démontrer leur indépendance vis-à-vis des pays tiers et faire preuve de transparence concernant la chaîne d’approvisionnement de leurs logiciels.
  • Niveau 3 : les fournisseurs doivent être détenus et contrôlés au sein de l’UE et répondre à des critères supplémentaires, tout en laissant la place à des fournisseurs tiers de confiance approuvés.
  • Niveau 4 : les fournisseurs doivent avoir une transparence et un contrôle totaux sur la chaîne d’approvisionnement de leurs logiciels et exclure toute ingérence de pays tiers.

Pour les entreprises européennes : la localisation des données n’est pas synonyme de souveraineté. Méfiez-vous des fournisseurs qui requalifient d’« européennes » des infrastructures existantes sous contrôle américain, sans respecter les exigences de propriété et de contrôle réellement imposées par les niveaux d’assurance. Le niveau 3 exige une propriété et un contrôle européens. Une simple surcouche de marque européenne autour d’AWS ne correspond pas au niveau 3.

La stratégie de l’UE en matière d’open source

L’UE dépense actuellement 264 milliards d’euros par an, principalement pour des produits et services informatiques propriétaires américains. La réponse de cette stratégie réside dans des logiciels qui peuvent être inspectés, réutilisés, adaptés et maintenus en Europe — avec le soutien d’un instrument de maintenance de l’open source pour financer la sécurité et l’entretien des composants essentiels, ainsi que des capacités de cartographie des dépendances et de mise en miroir pour garantir un accès continu aux infrastructures les plus critiques.

Elle cible spécifiquement les infrastructures cloud, les applications d’environnement de travail numérique, les outils de collaboration et de productivité, la messagerie instantanée et les boîtes mail sécurisées, avec pour objectif d’atteindre 30 millions d’utilisateurs actifs d’alternatives open source d’ici 2030.

Le principe « argent public, code public » engage les administrations publiques à choisir par défaut l’open source lorsque cela est possible.

Pour les entreprises européennes : les critères d’attribution des marchés publics s’orientent vers l’auditabilité, l’interopérabilité et les logiciels que vous pouvez inspecter. Si vos outils actuels sont fermés, propriétaires et sous contrôle américain, attendez-vous à des pressions — tant réglementaires que concurrentielles — pour justifier ce choix.

Une feuille de route stratégique pour la numérisation et l’IA dans le secteur de l’énergie

Un nouveau règlement délégué introduira des évaluations de durabilité à l’échelle de l’UE pour les centres de données, apportant ainsi de la transparence sur les performances environnementales et mettant fin au greenwashing. Si le logiciel qui fait fonctionner les infrastructures énergétiques critiques échappe à la juridiction européenne, la souveraineté énergétique reste aussi théorique que la souveraineté des données.

Pour les entreprises européennes : attendez-vous à ce que les évaluations de durabilité deviennent un critère d’achat, et à ce que la capacité des centres de données nationaux ouvre la voie à une nouvelle génération de fournisseurs européens qui n’étaient pas compétitifs auparavant sur le seul plan des infrastructures.

Ce que ce paquet signifiera pour l’Europe

Le paquet de la Commission européenne est important, mais il ne s’agit pas encore d’une révolution. Ce paquet est ambitieux, mais ses mandats sont limités. Beaucoup dépendra de la manière dont ces propositions seront élaborées, négociées, mises en œuvre, auditées et appliquées.

Si l’Europe veut que la souveraineté technologique ait un sens, elle doit dépasser le stade du diagnostic. Les règles de passation des marchés publics, les financements publics, les cadres de certification et les évaluations des risques doivent récompenser les fournisseurs qui réduisent la dépendance plutôt que ceux qui la renforcent.

L’indépendance numérique se construit à travers des milliers de choix technologiques opérés par les gouvernements, les entreprises et les particuliers.

Chez Proton, nous contribuons à faciliter la transition numérique vers des alternatives européennes(nouvelle fenêtre) souveraines et respectueuses de la vie privée. Proton s’aligne déjà fermement sur le paquet européen de souveraineté technologique : toutes nos applications sont en open source(nouvelle fenêtre) et utilisent une cryptographie forte(nouvelle fenêtre), y compris le chiffrement de bout en bout et le chiffrement à accès zéro. En tant que fournisseur basé en Suisse, nos clients bénéficient de solides protections de la vie privée.

Pour aider davantage d’entreprises à passer aux technologies européennes, nous avons récemment lancé Easy Switch for Business, qui permet aux équipes de migrer leurs messages, calendriers et contacts depuis Google Workspace vers Proton avec un minimum d’efforts et sans interruption de service.